PHP sikkerhetshull hos webhost?

[arnthelge]

Jeg har 2 webhotell hos en webhost. Jeg har programmert begge sidene med PHP.

 

Ved en tilfeldighet oppdaget jeg at jeg kunne lese filer mellom webområdene.

 

Er det normalt at man skal kunne liste opp mapper og filer på serveren utenfor eget webområde?

 

Med følgende skript kan jeg lese alle mappene serveren (innkludert systemmapper utenfor webområdene) Dermed kan jeg lese kildekoden til andre sine websider og veldig lett hente ut login data for mysql databasene.

 

<?php
if(!isset($_GET['curPath']))
 $_GET['curPath'] = "/";  	

echo "CurPath: " . $_GET['curPath'] . "<br><br>";

$d = dir($_GET['curPath']);
while (false !== ($entry = $d->read())) {
   	echo "<a href=\"test.php?curPath=" . $_GET['curPath'] . "/" . $entry . "\">" . $entry ."</a><br>\n";
}
$d->close();
?> 

Jeg mener dette må være et grovt sikkerhetshull, men da jeg kontaktet webhosten og ba om en forklaring, så sa dem at det var slik det skulle fungere.

 

Det kan da ikke være riktig at jeg med PHP skal ha muligheten til å lese andre filer og mapper utenfor mitt webområde?

 

Med vennlig hilsen,

Arnt Helge Håland

[ZoRaC]

Det er vel ikke ServeTheWorld vel?

Påpekte det samme for et par år siden jeg også, men de sa det skulle være slik og at man bare fikk listet opp filer/mapper, man fikk ikke åpnet dem...

[arnthelge]

Det er vel ikke ServeTheWorld vel?

Påpekte det samme for et par år siden jeg også, men de sa det skulle være slik og at man bare fikk listet opp filer/mapper, man fikk ikke åpnet dem...

7701379[/snapback]

 

Nei, det er ikke STW, men et annen stort norsk selskap. Jeg fikk også mail om at det skulle være slik, men jeg kan faktisk også via PHP lese kildekoden til PHP script til de andre websidene på serveren. Har egentlig lyst å gå til avisa om ikke de skjerper seg.

[oxodesign]

Det er vel ikke ServeTheWorld vel?

Påpekte det samme for et par år siden jeg også, men de sa det skulle være slik og at man bare fikk listet opp filer/mapper, man fikk ikke åpnet dem...

7701379[/snapback]

 

Nei, det er ikke STW, men et annen stort norsk selskap. Jeg fikk også mail om at det skulle være slik, men jeg kan faktisk også via PHP lese kildekoden til PHP script til de andre websidene på serveren. Har egentlig lyst å gå til avisa om ikke de skjerper seg.

7701487[/snapback]

Det er det første jeg hører om men hvis du kunne lese kilde koden da er det dårlig av dem!!

 

Og det er ikke normalt det.

 

Når det gjelder vanlig filer (HTML, TXT) eller bilde så vett jeg at det er noen som tilatter det men ikke serverbasert script!!

 

Krev pengene tilbake og bytt hosting!

[Pondi]

Domeneshop har hatt det slik lenge. De sikrer ikke filene for deg, du må sikre de selv..

 

Satt med brukernavn og passord til win-xp.no en stund intill de byttet webhost..

 

Kjekt? Neeeh.. Tror ikke mange vet at de SELV må sikre ting såpass godt.

[ZoRaC]

Testet med en FTP på en server jeg har tilgang til gjennom jobb (norsk webhotell), fikk opp over 5000 bruker-kataloger, de fleste av dem kunne jeg åpne og lese alle filer i! :O

[DarkSlayer]

Hvordan skal man sikre seg hos domeneshop da ... ble jo anbefalt å skaffe hotel der...

[arnthelge]

Lurer på det samme. Hva kan man gjøre for å beskytte sine egne siden fra å bli lest av uvedkommende? Er dette et kjent problem hos flere webhost'er?

[xqus]

Problemet har vært diskutert her før, og er forklart her:

https://munio.no/artikler/php-delte-servere

 

Det skal ikke være slik, og hvis de sier det skal være slik ville jeg byttet webhotell på dagen.

 

Dette er problemet med useriøse tilbydere. Det er lite man selv kan gjøre, utenom å benytte seg av en seriøs tilbyder som faktisk vet hva de holder på med.

Endret 12. januar 2007 av xqus

[ZoRaC]

Her er svaret fra webhuset.no:

Hei,

 

Dette er ikke en sikkerhetsfeil. I shared hosting vil du nødvendigvis

få tilgang til andre mapper fordi de må være lesbare av webserveren.

 

Du får selvsagt ikke skriverettigheter til filene, men du vil kunne

se filene og innhold i de filene som er lesbare av webserveren

(everyone). Dersom du har filer som du ikke ønsker skal være lesbare

av andre (f.eks. PHP-script som inneholder passord) må du sette

rettighetene slik at "everyone" ikke har lesetilgang. F.eks. 750.

 

(OBS: Statiske HTML-sider må ha lesetilgang for everyone slik at

webserveren skal få tilgang til å lese filen.)

 

--

Erik Windahl Olsen

webhuset.no/kundesenter

 

Men, f.eks ServeTheWorld har greid å hindre dette, får "permission denied" på home-mappen der, så det er nok ikke slik at det MÅ være slik det er hos webhuset.no...

[trrunde]

har lagt merke til at dcvhost har akkuratt samme sikkerhetshull, men det merka jeg når jeg brukte ssh, har ikke prøvd med php script, men regner med samme sikkerhetshull er der også

[Martin A.]

Herlig av webhuset. Har selv domene er.

 

Snakket med en kar på Live Support i forrige uke, og påpekte det at de viser passordene i ren tekst, som igjen ville si at alt lagres i ren tekst i deres database. Han sto på sitt, og mente at de lå trygt der. Jeg burde heller bruke https når jeg logget inn.

 

Se om du finner kildekoden til hovedsiden til webhosten din, og send det på mail. Så kan de selv se hvor trygt det er.

Er jo helt klart at det _ikke_ er slik det skal være.

[tarQue]

ble litt redd no. Hvordan kan jeg finne ut om de har dette

sikkerhetshulle. Kan noen poste php script?

[arnthelge]

Hei igjen,

 

Jeg fikk en oppklarende e-mail av webhost'en min i dag og det er faktisk kundens ansvar å sette riktige rettigheter på filer og mapper (chmod). Dette står i klartekst i vilkårene (noe jeg har oversett ("smekk på lanken min")).

 

Altså er det ikke noe sikkerhetshull, men litt uvitenhet fra min side. Så da har jeg ingen problem lenger, så lenge jeg enkelt kan beskytte mine egene filer.

 

Mvh,

Arnt Helge Håland

Endret 12. januar 2007 av arnthelge

[Ståle]

ble litt redd no. Hvordan kan jeg finne ut om de har dette

sikkerhetshulle. Kan noen poste php script?

7707491[/snapback]

 

Se her https://www.diskusjon.no/index.php?showtopi...dpost&p=7700720

 

På min gratishost kunne jeg se alle mappene, men bare åpne "min" mappe på /home. :o

Men jeg skal bytte host, så det er ikke noe problem for min del.

Endret 12. januar 2007 av Ståle

[magicgunnar]

Uhmm, jeg henger ikke helt med, hvis man setter rettighetene på filene sine til 750 kan da andre ikke lese dem, men apache kan?

 

Men på en eller annen måte må jo filene kunne vises til en bruker som kommer inn på sidene dine? Er det include fra en php-fil man bruker da?

[endrebjo]

Jeg tror jeg tullet med noe liknende på start.no (home.no.net). Jeg fant masse mapper, slik at jeg kunne finne mange sider (jeg fant masse navn som kunne puttes bak home.no.net/).

[arnthelge]

Uhmm, jeg henger ikke helt med, hvis man setter rettighetene på filene sine til 750 kan da andre ikke lese dem, men apache kan?

 

Men på en eller annen måte må jo filene kunne vises til en bruker som kommer inn på sidene dine? Er det include fra en php-fil man bruker da?

7708455[/snapback]

 

Det jeg gjorde var å sette 711 på alle mapper og 711 på alle script (php/cgi.. osv) og så har jeg 644 på alle andre filer som HTLM og bilder. Jeg klarer iallfall ikke lese filene fra det andre webhotellet etter at jeg gjorde det.

[ze5400]

Uhmm, jeg henger ikke helt med, hvis man setter rettighetene på filene sine til 750 kan da andre ikke lese dem, men apache kan?

 

Men på en eller annen måte må jo filene kunne vises til en bruker som kommer inn på sidene dine? Er det include fra en php-fil man bruker da?

7708455[/snapback]

 

Det jeg gjorde var å sette 711 på alle mapper og 711 på alle script (php/cgi.. osv) og så har jeg 644 på alle andre filer som HTLM og bilder. Jeg klarer iallfall ikke lese filene fra det andre webhotellet etter at jeg gjorde det.

7708951[/snapback]

 

Tror ikke det er noen sikring.

 

Prøv "cat index.php" på de som har chmoda riktig

[arnthelge]

Tror ikke det er noen sikring.

 

Prøv "cat index.php" på de som har chmoda riktig

7709322[/snapback]

 

Den var jeg ikke helt med på. Finner ingen PHP funksjon som heter cat.

Kan du utdype dette?